Корпоративная сеть - это сложная система, включающая тысячи самых разнообразных компонентов: компьютеры разных типов, начиная с настольных и заканчивая серверами, системное и прикладное программное обеспечение, сетевые адаптеры, концентраторы, коммутаторы и маршрутизаторы, кабельную систему.

Основная задача системных интеграторов и администраторов состоит в том, чтобы эта громоздкая и весьма дорогостоящая система как можно лучше справлялась с обработкой потоков информации, циркулирующих между сотрудниками предприятия и позволяла принимать им своевременные и рациональные решения, обеспечивающие выживание предприятия в жесткой конкурентной борьбе.

В данном проекте разрабатывалась корпоративная сеть для предприятия по разработке ПО “ FreeName”. Главный филиал предприятия находится в г. Запорожье, главный офис находиться также в Запорожье. Также, есть филиал в городе Львов. Для предприятия очень важно наладить совместную работу на серверах (Web, ftp server, proxy server, Git server, Jira Server), наладить связь между филиалами, которые находятся в разных городах, и обеспечить безопасность данной сети.

Необходимо выбрать технологии, которые будут связывать филиалы между собой, определиться с количеством и настройкой сетевого оборудования, настроить сервера и рассчитать длины кабеля для соединения рабочих станций и серверов.

Важным этапом является выбор аппаратного обеспечения для серверов и клиентских станций. Необходимо учесть наиболее оптимальные характеристики оборудования для данной сети. Для каждого сервера и рабочих станций необходимо подобрать ОС и ПО в зависимости от задач, необходимых для предприятия.

В проекте необходимо выбрать и настроить, каким образом будут распределяться IP адреса в сети. Грамотно построить сеть внутри отделов и с помощью сетевых технологий связать филиалы между собой. Все этим этапы будут подробно описаны в следующих пунктах курсового проекта.

1. АНАЛИЗ ТЕХНИЧЕСКОГО ЗАДАНИЯ

Естественным решением этой проблемы является использование уже существующих глобальных сетей. В этом случае достаточно обеспечить каналы от офисов до ближайших узлов сети. Задачу доставки информации между узлами глобальная сеть при этом возьмет на себя. Даже при создании небольшой сети в пределах одного города следует иметь в виду возможность дальнейшего расширения и использовать технологии, совместимые с существующими глобальными сетями. Часто первой, а то и единственной такой сетью, оказывается Internet.

Выбор технологии локальной сети

Что же рассмотрим, что есть еще у нас в локальных сетях. Архитектуры или технологии сетей можно разделить на два поколения. К первому поколению относятся архитектуры, обеспечивающие низкую и среднюю скорость передачи информации: Ethernet 10 Мбит/с), Token Ring (16 Мбит/с) и ARC net (2,5 Мбит/с).

Для передачи данных эти технологии используют кабели с медной жилой. Ко второму поколению технологий относятся современные высокоскоростные архитектуры: FDDI (100 Мбит/с), АТМ (155 Мбит/с) и модернизированные версии архитектур первого поколения (Ethernet): Fast Ethernet (100 Мбит/с) и Gigabit Ethernet (1000 Мбит/с).

Усовершенствованные варианты архитектур первого поколения рассчитаны как на применение кабелей с медными жилами, так и на волоконно-оптические линии передачи данных.

Новые технологии (FDDI и ATM) ориентированы на применение волоконно-оптических линий передачи данных и могут использоваться для одновременной передачи информации различных типов (видеоизображения, голоса и данных)[2].

Рассмотрим подробнее Gigabit Ethernet и FDDI.

FDDI (англ. Fiber Distributed Data Interface -- Волоконно-оптический интерфейс передачи данных) -- стандарт передачи данных в локальной сети, протянутой на расстоянии до 200 километров. Стандарт основан на протоколе Token Ring. Кроме большой территории, сеть FDDI способна поддерживать несколько тысяч пользователей.

В качестве среды передачи данных в FDDI рекомендуется использовать волоконно-оптический кабель, однако можно использовать и медный кабель, в таком случае используется сокращение CDDI (Copper Distributed Data Interface). В качестве топологии используется схема двойного кольца, при этом данные в кольцах циркулируют в разных направлениях. Одно кольцо считается основным, по нему передаётся информация в обычном состоянии; второе -- вспомогательным, по нему данные передаются в случае обрыва на первом кольце. Для контроля за состоянием кольца используется сетевой маркер, как и в технологии Token Ring.

Гигабитный Ethernet также известен как "гигабит по меди" или 1000BaseT. Он представляет собой обычную версию Ethernet, работающую на скоростях до 1.000 мегабит в секунду, то есть в десять раз быстрее 100BaseT.

Основой гигабитного Ethernet является стандарт IEEE 802.3z, который утвержден в 1998 году. Однако в июне 1999 года к нему вышло дополнение - стандарт гигабитного Ethernet по медной витой паре 1000BaseT. Именно этот стандарт смог вывести гигабитный Ethernet из серверных комнат и магистральных каналов, обеспечив его применение в тех же условиях, что и 10/100 Ethernet.

До появления 1000BaseT для гигабитного Ethernet необходимо использовать волоконно-оптический или экранированный медный кабели, которые вряд ли можно назвать удобными для прокладки обычных локальных сетей. Данные кабели (1000BaseSX, 1000BaseLX и 1000BaseCX).

Группа гигабитного Ethernet 802.3z прекрасно справилась со своей работой - она выпустила универсальный стандарт, в десять раз превышающий скорость 100BaseT. 1000BaseT также является обратно совместимым с 10/100 оборудованием, он использует CAT-5 кабель (или более высокую категорию).

Для создания локальной сети с скоростью 1000гб/с мы не можем использовать FDDI, эта технология поддерживает скорость 100мб/с при использовании медного провода (CAT-5 кабель), помимо всего топология сети построенная в виде звезды (в главном офисе) и перестроение на двойное кольцо, совсем не логично. Оборудование для FDDI менее популярно и его придётся заказывать у производителя. Цена FDDI немного дороже, для построения сети, коммутаторы 8000$ против коммутаторов за 600$ с тем же количеством портов Gigabit Ethernet.

Выбираем для построения локальной сети Gigabit Ethernet с стандартом 1000BaseT и используем кабель CAT-5, где уже проложен и не нуждается в замене и CAT-5e, новых маршрутов.

Беспроводные технологии - подкласс информационных технологий, служат для передачи информации на расстояние между двумя и более точками, не требуя связи их проводами. Для передачи информации может использоваться инфракрасное излучение, радиоволны, оптическое или лазерное излучение.

Самой популярной, на сегодняшний день, является технология Wi-Fi

Сети Wi-Fi работают на частотах 2,4 ГГц или 5 ГГц. В стандарте 802.11a используется частота 5 ГГц. В стандартах 802.11b и 802.11g (совместимость с 802.11b) используемая частота - 2,4 ГГц. В стандарте 802.11n (совместимость с 802.11a,b,g) используемая частота - 2,4 или 5 ГГц. В пределах прямой видимости беспроводная связь обеспечивается в радиусе до 300 метров от точки доступа. В закрытых помещениях беспроводная связь обеспечивается в пределах 50 метров.

Для беспроводных сетей, работающих в стандартах 802.11b,g,n на частоте 2,4 ГГц, диапазон шириной 83 МГц разделен на 14 каналов (от 2,412 ГГц - 1 беспроводной канал до 2,484 ГГц - 14 канал) через 5 МГц между центральными частотами соседних каналов, за исключением 14 канала.

Скорость передачи данных для Wireless оборудования, поддерживающего стандарт 802.11b, не превышает 11 Мбит/с, а для оборудования, поддерживающего стандарт 802.11g, до 54 Mбит/с. Стандарт 802.11n способен обеспечить скорость передачи данных до 600 Мбит/с. Для 802.11a скорость передачи данных - 54 Мбит/c.

EEE 802.11ac -- стандарт беспроводных локальных сетей, работающий в диапазоне частот 5 ГГц. Обратно совместим с IEEE 802.11n.

Стандарт позволяет существенно расширить пропускную способность сети, начиная от 433 Мбит/с(устройства с 433 Мбит/с на канал уже доступны летом 2014 г.) и до 6.77 Гбит/с при 8x MU-MIMO-антеннах. Это наиболее существенное нововведение относительно IEEE 802.11n. Кроме того, ожидается снижение энергопотребления(Дж/бит), что, в свою очередь, продлит время автономной работы мобильных устройств.

В связи с этим будет использован стандарт 802.11n.

Выбор технологии глобальной сети

Суть виртуальных частных сетей (Virtual Private Network, VPN) проста: реализация некоторого аналога частной сети (выделенный ресурс) в сети общего пользования (разделяемый ресурс), причем в качестве последней может выступать как Интернет, так и инфраструктура конкретного оператора. Подобный подход применяется давно, еще со времен сетей X.25 и Frame Relay. Новые технологии, лишь расширили возможности служб VPN, которые сегодня способны эмулировать, например, распределенный коммутатор Ethernet (L2 VPN) или маршрутизируемую сеть IP (L3 VPN).

В настоящее время наиболее распространенным протоколом VPN является протокол двухточечной туннельной связи или Point-to-Point Tunnelling Protocol - PPTP. Разработан он компаниями 3Com и Microsoft с целью предоставления безопасного удаленного доступа к корпоративным сетям через Интернет. PPTP использует существующие открытые стандарты TCP/IP и во многом полагается на устаревший протокол двухточечной связи РРР. На практике РРР так и остается коммуникационным протоколом сеанса соединения РРТР. РРТР создает туннель через сеть к NT-серверу получателя и передает по нему РРР-пакеты удаленного пользователя. Сервер и рабочая станция используют виртуальную частную сеть и не обращают внимания на то, насколько безопасной или доступной является глобальная сеть между ними. Завершение сеанса соединения по инициативе сервера, в отличие от специализированных серверов удаленного доступа, позволяет администраторам локальной сети не пропускать удаленных пользователей за пределы системы безопасности Windows NT Server[3].

Также можно выделить технологию, ISDN, что является набором цифровых сервисов для передачи голоса и данных. Разработанный телефонными компаниями, этот протокол позволяет передавать по телефонным сетям данные, голос и другие виды трафика.

В ближайшем будущем ожидается рост количества виртуальных частных сетей, развернутых на базе нового протокола туннелирования второго уровня Layer 2 Tunneling Protocol - L2TP.

L2TP появился в результате объединения протоколов PPTP и L2F (Layer 2 Forwarding). PPTP позволяет передавать через туннель пакеты PPP, а L2F-пакеты SLIP и PPP. Главное достоинство L2TP в том, что этот протокол позволяет создавать туннель не только в сетях IP, но и в таких, как ATM, X.25 и Frame Relay.

L2TP применяет в качестве транспорта протокол UDP и использует одинаковый формат сообщений как для управления туннелем, так и для пересылки данных. L2TP в реализации Microsoft использует в качестве контрольных сообщений пакеты UDP, содержащие шифрованные пакеты PPP. Надежность доставки гарантирует контроль последовательности пакетов.

MPLS (от английского Multiprotocol Label Switching) - мультипротокольная коммутация по меткам - механизм передачи данных, который эмулирует различные свойства сетей с коммутацией каналов поверх сетей с коммутацией пакетов. MPLS работает на уровне, который можно было бы расположить между канальным и третьим сетевым уровнями модели OSI, и поэтому его обычно называют протоколом канально-сетевого уровня. Он был разработан с целью обеспечения универсальной службы передачи данных как для клиентов сетей с коммутацией каналов, так и сетей с коммутацией пакетов. С помощью MPLS можно передавать трафик самой разной природы, такой как IP-пакеты, ATM, SONET и кадры Ethernet[4].

Решения по организации VPN на канальном уровне имеют достаточно ограниченную область действия, как правило, в рамках домена провайдера.

Выбор провайдера, после просмотра предложений в интернете скорость 100мб/с есть граничной для конечного потребителя. Если нужно выше 100мб/с, ведутся переговоры «face to face», для подтверждения того, что вы не будете перепродавать полученный канал другим пользователям. Технологии, которые поддерживают «Киевстарт» и «Vega» это ISDN, L2TP, PPTP.

Выбрана технология L2TP исходя из преимуществ: очень безопасен, легко настраивается, доступен в современных операционных системах.

PPTP (англ. Point-to-Point Tunneling Protocol) -- туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например Интернет. PPTP может также использоваться для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение для обслуживания туннеля.

PPTP был объектом множества анализов безопасности, в нём были обнаружены различные серьёзные уязвимости. Известные относятся к используемым протоколам аутентификации PPP, устройству протокола MPPE и интеграции между аутентификациями MPPE и PPP для установки сессионного ключа.

IPsec (сокращение от IP Security) -- набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. Позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. В основном, применяется для организации vpn-соединений.

DMVPN (англ. Dynamic Multipoint Virtual Private Network -- динамическая многоточечная виртуальная частная сеть) -- технология для создания виртуальных частных сетей, разработанная Cisco Systems. Является дальнейшим развитием VPN, и основывается на совместной работе протоколов разрешения шлюза NHRP, протокола туннелирования mGRE, шифрования IPSec и протоколов динамической маршрутизации: OSPF, ODR, RIP, EIGRP, BGP.

Клиент связывается с DMVPN сервером и получает от того данные желаемoй цели. Потом создаёт виртуальный туннель напрямую к цели. Эта система позволяет существенно разгрузить сервер.

На сетевом уровне используется протокол IPSec реализующий шифрование и конфиденциальность данных, а также аутентификацию абонентов. Применение протокола IPSec позволяет реализовать полнофункциональный доступ эквивалентный физическому подключению к корпоративной сети. Для установления VPN каждый из участников должен сконфигурировать определенные параметры IPSec, т.е. каждый клиент должен иметь программное обеспечение, реализующее IPSec.

Естественно, никакая компания не хотела бы открыто передавать в Интернет финансовую или другую конфиденциальную информацию. Каналы VPN защищены мощными алгоритмами шифрования, заложенными в стандарты протокола безопасности IРsec.

В связи с этим для построения виртуальной сети между филиалами фирмы будет использоваться IPSec.

2.2 Выбор сетевого оборудования